###### tags: `WEB` # WEB_Basic-Горбаконь_Кирилл-Практика_4 Место жительства: г. Москва ## Web Application Firewall * В VirtualBox создаю новую машину для настройки WAF.  --- * На машину WAF по инструкции устанавливаем **ModSecurity** и **nginx** со всеми дополнениями. `nginx -v`  * Настройка файла `/etc/nginx/nginx.conf`  * Настройка файла `/etc/nginx/modsec/modsecurity.conf`   * Настройка файла `/etc/nginx/modsec/modsec-config.conf`  * Проверяем: настройка выполнена успешно. `sudo nginx -t`  --- **Теперь сделаем машину WAF прокси для веб-сервера.** * Адрес машины WAF. `ip a`  * Адрес веб-сервера. `ip a`  * Обе машины работают в режиме сетевого моста. Настройки сети WAF машины.  Настройки сети web-сервера.  * В настройках веб-сервера выставляем адрес прокси-сервера.  * Настраиваем машину WAF. `sudo nano /etc/nginx/sites-enabled/default`  * Заходим с рабочего устройства, настройка прошла успешно.  --- #### XSS * Введем в поисковой строке `<iframe src="javascript:alert("xss")">`  * Скрипт сработал.  В логах отобразились записи этого события. `cat /var/log/nginx/access.log`  #### SQL-injection * Попробуем войти в аккаунт, созданный в первой практической работе, используя SQL-инъекцию. В конец логина поставим кавычку и знак комментария, чтобы проверка пароля не сработала.  * Вход не удался. Возникает ошибка.  В логах отобразились данные об этом событии. `cat /var/log/nginx/access.log`  #### Broken Access Control * Попытаемся попасть в секцию администрирования, изменив запрос в адресной строке.  * Возникает ошибка, доступ запрещен.  В логах отобразились данные об этом событии. `cat /var/log/nginx/access.log`